Cisco hat Software-Updates veröffentlicht, um eine kritische Sicherheitslücke in Unity Connection zu beheben, die es einem Angreifer ermöglichen könnte, beliebige Befehle auf dem zugrunde liegenden System auszuführen. Die Schwachstelle, mit der ${match} (CVSS Score: 7.3) verfolgt wird, ist ein Fehler beim Hochladen beliebiger Dateien in der webbasierten Verwaltungsoberfläche. Dies ist das Ergebnis eines Mangels an Authentifizierung in einer spezifischen API und einer unzureichenden Validierung von benutzergelieferten Daten.
Die folgenden Versionen von Cisco Unity Connection sind betroffen: Version 12.5 und frühere (Behoben in Version 12.5.1.19017-4) und Version 14 (Behoben in Version 14.0.1.14006-5). Version 15 ist nicht verwundbar.
Der Sicherheitsforscher Maxim Suslov wurde mit der Entdeckung und Meldung des Fehlers betraut. Cisco erwähnt nicht, dass die Schwachstelle bereits in freier Wildbahn ausgenutzt wurde, empfiehlt jedoch den Benutzern, auf eine behobene Version zu aktualisieren, um potenzielle Bedrohungen zu minimieren.
Zusätzlich zum Patch für ${match} hat Cisco auch Updates veröffentlicht, um 11 mittelschwere Sicherheitslücken in seiner Software zu beheben. Dies betrifft unter anderem die Identity Services Engine, den WAP371 Wireless Access Point, den ThousandEyes Enterprise Agent und das TelePresence Management Suite (TMS).
Allerdings hat Cisco bekannt gegeben, dass es keine Behebung für den Befehlsspritzbug in WAP371 (${match}, CVSS Score: 6.5) veröffentlichen wird. Das Gerät wurde im Juni 2019 als End-of-Life (EoL) eingestuft. Stattdessen wird den Kunden empfohlen, auf den Cisco Business 240AC Access Point umzusteigen.